RSS
Facebook
G+

Buscador de IntercambioSOS:


Retroceder   Foro de Ayuda IntercambiosvirtualeS > Soporte Sobre: Software > Sistemas Operativos > Linux

Respuesta
 
Herramientas Desplegado
Antiguo 21-ago-2014     #1
Amor y Paz Wapiti - Aplicación Auditoria Web en BT5



Wapiti es una aplicación que permite auditar la seguridad de sus aplicaciones web.

No estudia el código fuente de la aplicación, pero va a escanear las páginas web de la webapp, en busca de scripts y de formas en las que se puedan inyectar datos.

Posteriormente, Wapiti actúa como un fuzzer, inyectando payloads para ver si es vulnerable.

Se pueden detectar las siguientes vulnerabilidades:

Errores en el manejo de archivos (local y remote include/require, fopen, re***ile…)

Inyecciones en base de datos (PHP/JSP/ASP SQL e inyecciones XPath)
XSS (Cross Site Scripting).

Inyección LDAP

Detección de comandos de ejecución (eval (), system (), passtru ()…)
CRLF

Wapiti no se basa en una base de datos de vulnerabilidades como lo hace Nikto, a pesar de que integra su base de datos como un tipo de ataque desde la versión 2.2.1

Wapiti tiene como objetivo descubrir vulnerabilidades desconocidas en las aplicaciones web.

No proporciona una interfaz gráfica para el momento y hay que usarlo desde un terminal.

Wapiti es capaz de crear informes completos que incluyen todas las vulnerabilidades encontradas y la información relacionada con el fin de ayudar a solucionarlos.

Uso: (En ingles)

Wapiti-2.2.1 - A web application vulnerability scanner

Usage: python wapiti.py http://server.com/base/url/ [options]

Supported options are:
-s <url>
--start <url>
To specify an url to start with

-x <url>
--exclude <url>
To exclude an url from the scan (for example logout scripts)
You can also use a wildcard (*)
Example : -x http://server/base/?page=*&module=test
or -x http://server/base/admin/* to exclude a directory

-p <url_proxy>
--proxy <url_proxy>
To specify a proxy
Example: -p http://proxy:port/ ...

-c <cookie_file>
--cookie <cookie_file>
To use a cookie

-t <timeout>
--timeout <timeout>
To fix the timeout (in seconds)

-a <login%password>
--auth <login%password>
Set credentials for HTTP authentication
Doesn't work with Python 2.4

-r <parameter_name>
--remove <parameter_name>
Remove a parameter from URLs

-n <limit>
--nice <limit>
Define a limit of urls to read with the same pattern
Use this option to prevent endless loops
Must be greater than 0

-m <module_options>
--module <module_options>
Set the modules and HTTP methods to use for attacks.
Example: -m "-all,xss:get,exec:post"

-u
--underline
Use color to highlight vulnerables parameters in output

-v <level>
--verbose <level>
Set the verbosity level
0: quiet (default), 1: print each url, 2: print every attack

-b <scope>
--scope <scope>
Set the scope of the scan:
+ "page": to analyse only the page passed in the URL
+ "folder":to analyse all the links to the pages which are in the same folder as the URL passed to Wapiti.
+ "domain":to analyse all the links to the pages which are in the same domain as the URL passed to Wapiti.
If no scope is set, Wapiti scans all the tree under the given URL.

-f <type_file>
--reportType <type_file>
Set the type of the report
xml: Report in XML format
html: Report in HTML format
txt: Report in plain text

-o <output>
--output <output_file>
Set the name of the report file
If the selected report type is 'html', this parameter must be a directory

-i <file>
--continue <file>
This parameter indicates Wapiti to continue with the scan from the specified file, this file should contain data from a previous scan.
The file is optional, if it is not specified, Wapiti takes the default file from the "scans" folder.

-k <file>
--attack <file>
This parameter indicates Wapiti to perform attacks without scanning again the website and following the data of this file.
The file is optional, if it is not specified, Wapiti takes the default file from the "scans" folder.

-h
--help

>> Download Wapiti here <<

Aqui una linea de error en una web que nos marca un error:

La cadena de entrada no tiene el formato correcto.

Descripción:
Excepción no controlada al ejecutar la solicitud Web actual. Revise el
seguimiento de la pila para obtener más información acerca del error y dónde se originó en el código.

Detalles de la excepción:
System.FormatException: La cadena de entrada no tiene el formato
correcto.

Error de código fuente:

Línea 123: SectorID = _intSectorID;
Línea 124: else
Línea 125: SectorID = int.Parse(Request.QueryString["s1d"]);
Línea 126:
Web de error:

http://web.gob.pe/av/activity/avm.aspx?s1d='43

Expongo este material para fines EDUCATIVOS, no me hago responsable de su uso xD
Responder Citando
Usuarios que han agradecido este mensaje de Palawan
Francisco6812 (21-ago-2014)
Respuesta


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
[App] JLOJCH: Listado Oficial de Juegos Compatibles con HDL,OPL,USB,ESR by Tapia nokiajavi Software 17 25-jun-2015 15:59
Listado de todos los códigos de error generados por Windows Froyandres Sistemas Operativos 13 09-ene-2014 23:33
SPB Shell 3D El Home ideal para tu celular felcon Android, WebOS, IOS, ChromeOS 15 26-dic-2012 22:12
PROGRAMACIÓN EN ANDROID: Conceptos Generales "Parte 1" GenuiWorld Programación 5 31-dic-2011 21:16


Desarrollado por: vBulletin® Versión 3.8.1
Derechos de Autor ©2000 - 2024, Jelsoft Enterprises Ltd.
Ad Management by RedTyger